Google ha eliminado 224 aplicaciones de Google Play vinculadas a la operación de fraude publicitario SlopAds, identificada por Satori Threat Intelligence (Human Security). Según el análisis, estos paquetes llegaron a generar hasta 2,3 mil millones de solicitudes de anuncios al día y acumularon más de 38 millones de instalaciones. La campaña combinó ofuscación, esteganografía y carga dinámica de código para evadir los controles de Google y los mecanismos de seguridad en los dispositivos.
Alcance global y magnitud del fraude publicitario móvil
SlopAds tuvo distribución global, con descargas en 228 países y regiones. La mayor densidad de actividad se observó en EE. UU. (~30%), India (~10%) y Brasil (~7%). El “fenotipo” de las apps apunta a un modelo de producción en cadena: publicación acelerada de numerosos títulos ligeros con una base de código común, táctica típica en esquemas de fraude publicitario móvil para diversificar el inventario y dificultar la atribución. Los investigadores estiman más de 2.000 millones de eventos fraudulentos diarios (impresiones y clics) mediante tráfico no visible para el usuario.
Tácticas de evasión: activación condicional y “doble personalidad”
Una particularidad clave fue la activación condicional. Si la app se instalaba directamente desde Google Play, funcionaba de forma aparentemente legítima. En cambio, si la instalación se producía tras hacer clic en un anuncio, se disparaba una lógica oculta que consultaba Firebase Remote Config para descargar una configuración cifrada con rutas a módulos fraudulentos, infraestructura de monetización y payloads JavaScript. Esta “doble personalidad” reduce la probabilidad de detección durante las revisiones estáticas y dinámicas.
Esteganografía y “FatModule”: carga dinámica del payload en Android
Antes de activar el fraude, el código verificaba si el entorno era de análisis (p. ej., depuración, sandbox o herramientas de seguridad). Tras superar estas comprobaciones, la app descargaba cuatro imágenes PNG que ocultaban, mediante esteganografía, fragmentos de un APK malicioso. En el dispositivo, los fragmentos se descifraban y ensamblaban en un módulo completo, identificado por los analistas como FatModule. Este enfoque encaja con técnicas descritas en MITRE ATT&CK for Mobile como la ofuscación de artefactos y la carga dinámica de código, reduciendo las huellas detectables en el paquete publicado en la tienda.
Abuso de WebView: impresiones y clics invisibles a escala
Una vez activo, el módulo utilizaba WebView ocultos para recopilar parámetros del dispositivo y del navegador (huella de cliente) y recorrer cadenas de dominios controlados por los operadores, a menudo camuflados como portales de juegos o noticias. En esos WebView no visibles se cargaban y actualizaban anuncios de forma continua, fabricando inventario y engagement inexistentes. El resultado: miles de millones de impresiones y clics falsos por día que inflan métricas, desvían presupuestos de anunciantes y contaminan la medición del ecosistema publicitario.
Infraestructura y señales de escalado operativo
La infraestructura de SlopAds incluía múltiples servidores de control y más de 300 dominios promocionales orientados a la captación y monetización. La amplitud de esta red sugiere intención de escalar más allá de las 224 apps ya identificadas, práctica habitual en operaciones rentables que buscan fragmentar el tráfico y complicar su trazabilidad entre redes y exchanges.
Respuesta de Google y estado actual de la amenaza
Google retiró todos los paquetes conocidos y actualizó Google Play Protect para alertar proactivamente a usuarios afectados. No obstante, la arquitectura modular y el uso de esteganografía facilitan la reconfiguración de la campaña bajo nuevos nombres. Es recomendable revisar el inventario de apps instaladas, revocar permisos innecesarios y vigilar consumos anómalos de datos o batería, indicadores frecuentes de ad fraud en segundo plano.
Recomendaciones prácticas para reducir el riesgo
– Mantener Play Protect activado y revisar periódicamente los resultados en la sección de seguridad.
– Evitar instalar apps desde anuncios o enlaces aleatorios; priorizar la página del desarrollador y catálogos de confianza.
– Evaluar señales de riesgo: permisos excesivos, picos de consumo de batería/datos, actividad persistente en segundo plano.
– En organizaciones: monitorizar anomalías en tráfico HTTP(S), aplicar políticas de mínimos privilegios en Android, controles de integridad, y soluciones MDM/EDR; implementar listas de bloqueo/permitidos en DNS/HTTP y alertas por uso inusual de WebView.
SlopAds evidencia cómo la combinación de ofuscación, esteganografía y activación condicional puede sostener durante meses un fraude publicitario masivo sin ruido para el usuario. La mitigación pasa por una ciberhigiene constante, actualizaciones, canales de instalación confiables y observabilidad del comportamiento de red. Recomendación: audita hoy tu parque Android, elimina apps sospechosas y sigue de cerca los avisos de Human Security y Google Play Protect para anticipar variantes futuras.
